Защита информации в государственных информационных системах (ГИС)
К защите информации, содержащейся в ГИС и МИС, предъявляются законодательные требования, определяемые Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Приказом ФСТЭК России от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Информация должна быть защищена от несанкционированного доступа, а также от специальных воздействий в целях ее добывания, уничтожения, искажения или блокирования доступа к ней.
В целях выполнения требования законодательства мы разработали решение «Защита ГИС», учитывающее методические рекомендации ФСТЭК России от 11.02.2014 «Меры защиты информации в государственных информационных системах».
«Защита ГИС» представляет собой комплекс мероприятий для обеспечения защиты информации, обрабатываемых в ГИС и МИС, и состоит из следующих этапов:
1. Аудит: определение перечня защищаемой информации и класса защищенности;
2. Определение условий обработки информации: разработка модели угроз безопасности информации и классификация;
3. Формирование технического задания: выбор мер защиты информации, подготовка аналитического обоснования и проектирование подсистемы защиты информации;
В зависимости от выявленных угроз безопасности информации мы применяем следующие меры защиты:
-
Идентификация и аутентификация субъектов доступа к объектам доступа;
-
Управление доступом субъектов доступа к объектам доступа;
-
Регистрация событий безопасности;
-
Антивирусная защита;
-
Обнаружение вторжений;
-
Анализ защищенности информации;
-
Защита систем связи и передачи данных;
-
Защита среды виртуализации.
4. Техническое проектирование и внедрение проектных решений: поставка, установка и настройка сертифицированных средств защиты информации, в том числе систем обнаружения вторжений, средств защиты виртуальной среды и систем управления базами данных, разработка организационно-распорядительной и эксплуатационной документации, включая технические требования и регламенты по подключению к информационной системе удаленных пользователей;
5. Аттестация: оценка соответствия по требованиям безопасности информации;
6. Техническое сопровождение созданной системы защиты информации, включая администрирование защищенных сетей связи.
В случае, когда защищаемая ГИС или МИС содержит персональные данные, мероприятия по защите информации рассматриваются в комплексе.